CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2019-4142
https://notcve.org/view.php?id=CVE-2019-4142
IBM Cloud Private 2.1.0, 3.1.0, 3.1.1, and 3.1.2 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts. IBM X-Force ID: 158338. IBM Cloud Private 2.1.0, 3.1.0, 3.1.1 y 3.1.2 es vulnerable a la falsificación de solicitudes entre sitios, lo que podría permitir que un atacante ejecute acciones malintencionadas y no autorizadas transmitidas por un usuario en las que el sitio web confía. ID de IBM X-Force: 158338. • https://exchange.xforce.ibmcloud.com/vulnerabilities/158338 https://www.ibm.com/support/docview.wss?uid=ibm10885434 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2019-4119
https://notcve.org/view.php?id=CVE-2019-4119
IBM Cloud Private Kubernetes API server 2.1.0, 3.1.0, 3.1.1, and 3.1.2 can be used as an HTTP proxy to not only cluster internal but also external target IP addresses. IBM X-Force ID: 158145. Los servidores de API de IBM Cloud Private Kubernetes en sus versiónes 2.1.0, 3.1.0, 3.1.1, and 3.1.2, puede ser usados como un proxy HTTP no solo para agrupar las direcciones IP de destino internas sino tambien externas. ID de IBM X-Force: 158145. • http://www.ibm.com/support/docview.wss?uid=ibm10878460 https://exchange.xforce.ibmcloud.com/vulnerabilities/158145 •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1943
https://notcve.org/view.php?id=CVE-2018-1943
IBM Cloud Private 3.1.0 and 3.1.1 is vulnerable to HTTP HOST header injection, caused by improper validation of input. By persuading a victim to visit a specially-crafted Web page, a remote attacker could exploit this vulnerability to inject arbitrary HTTP headers, which will allow the attacker to conduct various attacks against the vulnerable system, including cross-site scripting, cache poisoning or session hijacking. IBM X-Force ID: 153385. IBM Cloud Private versiones 3.1.0 y 3.1.1 es vulnerable a la inyección de HTTP HOST Header, generada por una comprobación inadecuada de la entrada. Mediante la persuasión a una víctima a que visite una página web especialmente creada, un atacante remoto podría realizar una explotación a esta vulnerabilidad para inyectar encabezados HTTP arbitrarios, lo que permitirá al atacante conducir varios ataques contra el sistema vulnerable, incluyendo cross-site scripting, envenenamiento por caché o secuestro de sesión. • http://www.securityfocus.com/bid/107828 https://exchange.xforce.ibmcloud.com/vulnerabilities/153385 https://www.ibm.com/support/docview.wss?uid=ibm10871656 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 4.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-1843
https://notcve.org/view.php?id=CVE-2018-1843
The Identity and Access Management (IAM) services (IBM Cloud Private 3.1.0) do not use a secure channel, such as SSL, to exchange information only when accessed internally from within the cluster. It could be possible for an attacker with access to network traffic to sniff packets from the connection and uncover data. IBM X-Force ID: 150903 Los servicios IAM (Identity and Access Management) como IBM Cloud Private 3.1.0 no emplean un canal seguro, como SSL, para intercambiar información solo cuando se accede de forma interna desde dentro del clúster. Podría ser posible para un atacante con acceso al tráfico de red rastrear paquetes desde la conexión y descubrir datos. IBM X-Force ID: 150903 • http://www.ibm.com/support/docview.wss?uid=ibm10739845 https://exchange.xforce.ibmcloud.com/vulnerabilities/150903 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •